비밀번호 없는 인증은 문제가 아닙니다. 기술을 둘러싼 신화는
오늘날 대부분의 온라인 애플리케이션에는 비밀번호가 필요합니다. 최근 연구에 따르면 보통 사람은 168개의 비밀번호를 조작해야 합니다.
많은 온라인 사용자에게는 이를 기억하고 재설정하는 것이 반복적으로 귀찮은 일입니다.
따라서 비밀번호가 표준이 되었지만 가장 안전하지도 않고 가장 실용적인 옵션도 아닙니다.
Martin Lee는 Cisco Talos의 EMEA 지역 수석 보안 연구 엔지니어입니다.
현실은 암호가 예전만큼 오래 지속되지 않고 적들이 쉽게 알아낼 수 있다는 것입니다.
비밀번호 피로로 인해 많은 사용자는 일반적으로 이미 취약한 자격 증명을 약간 변경하여 비밀번호를 자주 재사용하고 재활용하게 됩니다.
이로 인해 온라인 사용자는 크리덴셜 스터핑, 피싱 또는 푸시 폭탄 공격과 같은 비밀번호 관련 공격에 취약해집니다.
다행히 더 나은 대안이 있습니다. 바로 비밀번호 없는 인증입니다. 비밀번호가 없으면 비밀번호를 입력하지 않고도 자신이 누구인지 증명할 수 있습니다. 대신 지문, 얼굴, 기기의 보안 키와 같은 방법을 사용합니다.
이는 로그인 프로세스를 더 쉽게 만들 뿐만 아니라 공격자가 스푸핑하는 것을 더 어렵게 만듭니다. 그러나 이러한 장점에도 불구하고 비밀번호 없는 인증에 대한 오해는 계속해서 남아 있습니다.
신화를 사실로 대체하기
비밀번호 없는 접근 방식에 대한 첫 번째 일반적인 통념은 다중 요소 인증(MFA)보다 덜 안전하다는 가정입니다.
많은 사람들은 비밀번호를 제거하면 중요한 보호 계층이 생략된다는 것을 의미한다고 생각합니다. 비밀번호 없는 접근 방식은 실제로 MFA이지만 방식이 약간 다릅니다.
기존 MFA는 모바일 장치 등 보유하고 있는 항목과 비밀번호 등 알고 있는 항목에 의존합니다. 비밀번호 없는 인증은 “당신이 알고 있는 것”의 요소와 얼굴 인식이나 생체 인식과 같은 당신의 신분을 결합합니다.
비밀번호가 필요하지 않으므로 원활한 로그인 경험이 가능해지고 사용자와 사용자가 액세스하는 비즈니스 애플리케이션 및 플랫폼에 대한 위험이 크게 줄어듭니다.
공격자가 로그인을 도용하거나 위조하는 것은 거의 불가능합니다. 왜냐하면 공격자는 올바른 핀을 추측하고 생체 인식 데이터에 액세스할 수 있어야 하기 때문입니다.
비밀번호 없는 인증의 두 번째 이점은 비밀번호 관련 사고를 해결해야 하는 IT 팀의 부담이 줄어든다는 것입니다.
미국 기반 조직이 비밀번호 관련 지원 비용으로 100만 달러 이상을 지출한다는 점을 고려하면, 비밀번호 없는 인증을 채택하면 더 복잡한 프로젝트에 상당한 시간과 예산을 확보할 수 있습니다.
비밀번호는 핀이 아닙니다
비밀번호 없는 인증에 대한 또 다른 일반적인 통념은 PIN이 비밀번호와 동일한 보안 실패 지점을 가질 수 있다는 것입니다. 이것은 사실이 아닙니다. 핀은 비밀번호처럼 보일 수 있지만 동일한 방식으로 작동하지는 않습니다.
비밀번호 데이터는 일반적으로 인터넷을 통해 전송되며 회사 서버에 저장되는 경우가 많아 사용자의 자격 증명이 외부 공격자에게 노출됩니다.
반면, PIN은 로컬에서 장치 잠금을 해제하는 데 사용됩니다. 즉, 공격자가 원격으로 액세스할 수 있는 것이 없습니다. 공격자가 액세스를 시도하려면 물리적으로 장치가 있어야 할 뿐만 아니라, 장치를 도난당한 경우에도 장치가 잠기기 전에 PIN을 여러 번 잘못 입력할 수 있습니다.
이를 통해 핀 액세스는 비밀번호보다 훨씬 더 안전하며 생체 인식과 결합되어 사용자는 자신의 장치가 손상될 가능성이 거의 없다는 확신을 가질 수 있습니다.
생체 인식보다 비밀번호가 더 안전합니까?
세 번째 일반적인 통념은 비밀번호가 본질적으로 생체인식보다 더 안전하다는 생각입니다. 이 신화는 기술이 아직 초기 단계에 있었고 장치가 가짜 얼굴이나 지문으로 속이고 있다는 헤드라인 보도가 있었던 생체인식 기술의 초기부터 발생했습니다.
다행히도 그런 시절은 지나갔고 생체 인식과 관련된 많은 결함이 해결되었습니다. 현재 시스템은 3D 매핑, 적외선 및 “활성” 감지와 같은 기능을 사용하여 위조를 극도로 어렵게 만듭니다.
PIN과 마찬가지로 생체 인식도 로컬에서 작동합니다. 사용자가 생체 인식을 사용하여 인증을 시도하면 장치에 저장된 개인 키가 잠금 해제됩니다. 이 키는 저장된 장치를 떠나지 않으며 다른 장치나 위치로 전송할 수 없습니다.
이는 원격 액세스 및 공격으로부터 생체인식을 안전하게 보호하며, 공격자가 장치를 소유하고 소유자가 모든 데이터에 액세스하려면 잠금을 해제하도록 강제해야 함을 의미합니다.
비밀번호 없는: 원활한 로그인 경험의 핵심
모든 새로운 기술 주기 또는 획기적인 발전과 마찬가지로 비밀번호 없는 인증은 오해와 회의론의 대상이 됩니다. 많은 조직에서 비밀번호 없는 것은 제로 트러스트 보안 전략의 중요한 요소입니다.
이는 크고 작은 조직이 고유하고 강력한 사용자 신원과 신뢰를 구축하는 데 도움이 될 수 있으며 고객 로그인 경험을 크게 변화시킬 수 있습니다.
그러나 비밀번호 없는 인증을 채택하는 것은 하루아침에 이루어지지 않습니다. 더 나은 사용자 경험, IT 시간 및 비용 절감, 강력한 보안 상태가 이상적인 세 가지 요소처럼 보이지만 조직은 구현 방법에 대해 신중하게 생각해야 합니다.
조직의 애플리케이션 환경을 명확하게 이해하는 것은 중요한 출발점입니다. 즉, 어떤 애플리케이션을 보호해야 하는지 생각하는 것입니다. 이는 IT 및 보안 팀이 제로 트러스트 전략에 도달하기 위한 전제 조건을 정의하는 데 도움이 됩니다.
거기에서 IT 팀은 초기 문제를 해결하고 사용자 우려 사항을 해결하는 데 도움이 될 수 있는 비밀번호 없는 인증의 파일럿 배포를 통해 단편적인 접근 방식을 취하는 것을 고려해야 합니다.
Passwordless는 새롭고 쉬운 로그인 방법일 뿐만 아니라 조직의 보안 자격 증명과 제로 트러스트를 향한 여정을 변화시킬 수 있는 기능도 갖추고 있습니다. 비밀번호를 사용하지 않는 것은 인증의 미래를 향한 첫 번째 단계입니다.
우리는 최고의 개인용 브라우저를 도입했습니다.
이 기사는 TechRadarPro의 Expert Insights 채널의 일부로 제작되었으며, 오늘날 기술 업계에서 가장 뛰어난 인재들을 소개합니다. 여기에 표현된 견해는 저자의 견해이며 반드시 TechRadarPro 또는 Future plc의 견해는 아닙니다. 협업에 관심이 있다면 여기에서 자세히 알아보세요.